Nome del virus:W32/Vetor.I
Scoperto:24/11/2008
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:47.579 Byte
Versione IVDF:7.01.00.127 - lunedì 24 novembre 2008

 Generale Alias:
   •  Mcafee: W32/Caveduck
   •  Kaspersky: Virus.Win32.Agent.cb
   •  F-Secure: Virus.Win32.Agent.cb
   •  Sophos: W32/Vetor-I
   •  Eset: Win32/Delf.NAP


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003

 File Si copia alla seguente posizione:
   • %SYSDIR%\%file eseguiti%

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Enum\Root\
   LEGACY_~%stringa di caratteri casuale%~]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\
   LEGACY_~%stringa di caratteri casuale%~\0000]
   • "Service"="~%stringa di caratteri casuale%~"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="~%stringa di caratteri casuale%~"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\
   LEGACY_~%stringa di caratteri casuale%~\0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="~%stringa di caratteri casuale%~"

– [HKLM\SYSTEM\ControlSet001\Services\
   ~%stringa di caratteri casuale%~]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%valori esadecimali%
     "DisplayName"="~%stringa di caratteri casuale%~"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\ControlSet001\Services\
   ~%stringa di caratteri casuale%~\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\ControlSet001\Services\
   ~%stringa di caratteri casuale%~\Enum]
   • "0"="Root\\LEGACY_~%stringa di caratteri casuale%~\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 File virale Infector type: (it)

Appender (it)
Infector modifies last section (it)


Infector Stealth (it)
 Infector stealth no (it)


Metodo:

Questo virus rimane attivo nella memoria.


Infection Length (it)

- 47579 Byte


Ignora i file che:

Are smaller than: (it) 100.000 Byte


The following files are infected (P) (it)

By file type (it)
   • *.exe,*.scr

Files in the following directories (it)
   • %tutte le directory%

 Varie Mutex:
Crea il seguente Mutex:
   • ~%stringa di caratteri casuale%~

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.

Descrizione inserita da Daniel Constantin su lunedì 1 febbraio 2010
Descrizione aggiornata da Daniel Constantin su martedì 2 febbraio 2010

Indietro . . . .